Dicas de Segurança
Entendemos que a segurança da informação é de extrema importância para si quando se trata de estabelecer conexões de desktop remoto. Aplicamos tecnologias de segurança padrão da indústria para proteger os seus dados e cumprir os mais rígidos padrões de segurança.
A ISL Online protege o seu tráfego de desktop remoto ao usar troca de chave pública/privada RSA 2048/4096 bits e criptografia AES 256 bits end-to-end.
Para estabelecer uma conexão de suporte de desktop remoto com um cliente, o operador do helpdesk precisa de iniciar o aplicativo ISL Light que carrega uma chave pública RSA 2048/4096 bits do servidor ISL Online. O ISL Online protege a sua conexão de desktop remoto usando criptografia ponta a ponta AES de 256 bits. As chaves de criptografia simétricas são negociadas usando o algoritmo de troca de chaves Diffie-Hellman protegido por um RSA PKI de 2.048/4.096 bits.
O software suporta autenticação de dois fatores, registos de auditoria exportáveis, gravação automática de sessão e autenticação externa.
Para uma visão geral mais detalhada, leia o nosso declaração de segurança.
A seguir, queremos dar-lhe uma visão rápida de alguns dos recursos mais importantes que a ISL Online oferece para garantir o uso seguro de software de desktop remoto.
Iniciar Sessão
Quando inicia sessão na sua conta ou no ISL Light, recomendamos o uso de uma palavra-passe forte e a configuração de autenticação de dois fatores para tornar a sua conta mais segura.
Use uma palavra-passe forte na sua conta
A segurança dos seus dados depende não apenas da força do método de criptografia, mas também da força da sua palavra-passe.
Para ajudá-lo a criar uma palavra-passe forte, a política de segurança de palavra-passe do ISL Online é baseada nas especificações mais recentes do NIST. A sua palavra-passe deve ter pelo menos 8 caracteres. Tem permissão para usar quaisquer caracteres e espaços ASCII imprimíveis, enquanto quaisquer espaços iniciais e finais serão removidos. A sua palavra-passe é verificada na lista de negações, que consiste nas palavras-passe mais comuns e simples.
Definir autenticação de dois fatores
A autenticação de dois fatores (2FA) é uma camada extra de segurança para técnicos de help desk e profissionais de TI. Com o 2FA habilitado, os operadores só podem fazer login no sistema ISL Online passando por um processo de verificação em duas etapas, fornecendo algo que eles sabem (palavra-passe) e algo que possuem (token 2FA).
Como configurar a autenticação de dois fatores
Autenticação externa (apenas Licença Servidor)
Há vários tipos de esquemas de autenticação que podem ser integrados ao sistema ISL Online, como OpenLDAP, Microsoft Active Directory, Novell eDirectory ou RADIUS. Quando a autenticação externa é configurada, os direitos de acesso do operador e as permissões para usar o software ISL Online são geridos por administradores de TI usando os seus diretórios de gestão de utilizadores corporativos.
Palavra-passe de Acesso
Ao instalar o acesso não supervisionado (ISL AlwaysOn) num computador remoto, deve definir uma palavra-passe de acesso seguro. Essa será a sua palavra-passe de acesso principal, que deve fornecer sempre que tentar aceder ao computador remoto.
Palavra-passe de Acesso Principal
A palavra-passe de acesso principal é uma palavra-passe de acesso definida durante a instalação e pode ser usada por qualquer utilizador para se conectar ao computador remoto.
Palavra-passe Para Acesso à Conexão
Se partilhou o acesso a um computador remoto com outros utilizadores da sua conta, pode definir uma palavra-passe diferente para cada utilizador. A palavra-passe de acesso à conexão pode ser definida manualmente nas configurações ISL AlwaysOn.
Palavra-passe de Uso Único
Crie palavras-passe de uso único manualmente nas configurações do ISL AlwaysOn. Cada palavra-passe de uso único pode ser usada apenas uma vez para se conectar a um computador remoto.
Leia o manual Ver vídeo (0:58)
Configurações Adicionais
As configurações do ISL AlwaysOn permitem-lhe modificar ou personalizar várias configurações de segurança para se conectar a um computador autónomo.
Allow computer access also with local user consent and no access password
Allows the operator to connect to a remote computer without an access password. In this case, the local user has to approve the connection. To use this setting you have to use the next command line parameters when starting ISL Light:
ISLLight.exe --username "<isl_online_username>" --password "<password>" --connect-search "<computer_description>/<computer_name>" --consent-message "<message to be displayed>"
Maximum number of active sessions to this computer
Allows to set the maximum number of active sessions to this computer. For example, to limit the access to one simultaneous connection to the computer use value "1". The default is set to Unlimited.
Mostrar notifiação de ligação a receber
Permite que o cliente veja uma notificação de contagem regressiva quando uma conexão é estabelecida com o seu computador. Pode especificar o tempo limite e as opções disponíveis para o utilizador local. Após o tempo limite, a ação padrão é executada se o utilizador remoto tiver permissão para rejeitar a conexão.
Permitir ao utilizador local rejeitar a ligação
Esta opção estará disponível se tiver habilitado a opção "Mostrar notificação de conexão de entrada". O utilizador local vê uma notificação que lhe dá a opção de aceitar ou rejeitar a conexão feita pelo operador.
Bloquear computador ao iniciar a sessão
Bloqueie o computador remoto quando a sessão começar, terá que inserir as informações da conta para fazer o login.
Bloquear o computador durante o streaming e sem conexão de rede
Se a conexão for interrompida durante a conexão com o computador remoto, o computador remoto será bloqueado automaticamente.
Bloquear o computador quando a sessão terminar
Bloqueie automaticamente o computador remoto quando a sessão terminar.
Activar ecrã negro quando sessão iniciar
O utilizador local verá um ecrã negro quando a sessão remota estiver ativa.
Duração do atraso antes que o ecrã negro é interrompido após pressionar o ESC (em segundos)
Defina o tempo limite em segundos que começa quando pressiona ESC. Uma vez atingido o tempo limite, o ecrã negro é desativado e o cliente local pode ver o ecrã. O tempo limite máximo é de 180 segundos.
Notificações de Email
Receba uma notificação por email sempre que uma sessão de acesso remoto for iniciada, interrompida, falhar ou um ficheiro for descarregado num computador específico.
Leia o manual Ver vídeo (0:58)
Filtros de Acesso
Por razões de segurança, pode restringir o uso do software ISL Online na sua organização. Pode limitar o acesso aos dados aos servidores ISL Online com base nos endereços IP e /ou MAC. Pode usar a função “permitir” para especificar a lista de permissões de endereços IP/MAC que têm permissão para iniciar uma sessão de suporte remoto ou aceder a um computador autónomo. Por outro lado, pode usar a função “negar” para especificar a lista negra de endereços IP/MAC. Essas regras podem ser definidas para um utilizador específico ou todo o domínio no servidor ISL Online.
Por exemplo, pode permitir que os seus funcionários façam a gestão de códigos de sessão para uma sessão de suporte remoto apenas no escritório (o intervalo de endereços IP da sua empresa).
deny_ip 192.168.0.14
allow_ip 192.168.0.13/255.255.255.0
allow_mac 00-19-d1-06-c9
Importante:
Os endereços IP e MAC podem ser falsificados, portanto, os filtros por si só não são um substituto para uma palavra-passe de acesso forte!
Leia o manual Ver vídeo (0:34)
Filtragem de Portas
Um bom software de desktop remoto funciona sem fazer ajustes no firewall.
Com o ISL Online, o seu firewall pode permanecer intacto, pois o ISL Light inicia automaticamente uma conexão de saída, tentando conectar-se usando as portas 7615, 80 ou 443.
No entanto, organizações maiores normalmente têm uma determinada política sobre a configuração dos seus firewalls ou proxies. Os administradores do sistema podem querer abrir a porta 7615 apenas para passar o tráfego da ISL Online diretamente e continuar a filtrar o resto. Eles também podem configurar exceção de nome DNS ou exceção de número IP.
Independentemente da configuração da rede, os aplicativos ISL Online tentarão automaticamente diferentes abordagens para encontrar o transporte de trabalho (detectando configurações de proxy, usando WinINet, criando um túnel, fazendo uso do wildcard DNS, etc.).
Histórico de Acesso ao Computador
Pesquise conexões que foram estabelecidas na sua conta, registos de data e hora de conexão do desktop e outras informações úteis.
Leia o manual Ver vídeo (0:34)
Restrição de Recursos
O software de desktop remoto é uma ferramenta universal, usada virtualmente em todos os setores. Conseqüentemente, existem inúmeros casos de uso diferentes que exigem soluções muito flexíveis que permitem a restrição de recursos para aderir a padrões de segurança distintos.
A ISL Online permite-lhe restrinjir os recursos disponíveis numa sessão: assumir o controlo do computador remoto, transferir ficheiros entre o cliente e a operadora e muitos outros recursos.
Um exemplo de onde restringir um recurso é essencial: um funcionário do banco deve ser capaz de ver o ecrã do computador de um cliente, mas nunca deve ser capaz de começar a partilhar o seu próprio desktop. Nesse caso, a partilha de desktop no lado do operador pode ser desativada.
Opção de Intranet (apenas LAN)
Algumas grandes organizações usam apenas a ISL Online para o seu suporte interno em diferentes localizações geográficas. Nesses casos, o software de desktop remoto deve permitir o estabelecimento de sessões de desktop remoto apenas numa rede local (LAN).
Se planeia usar a ISL Online apenas na sua LAN (intranet), não há necessidade de um endereço IP público. Só precisa de um endereço privado no intervalo de redes privadas (conforme especificado na RFC 1918).
Perguntas Principais
-
Quais são as portas que precisam de ser abertas para a solução hospedada?
A porta 7615 é a escolha preferida e pode pensar nela como a porta ISL Online padrão, assim como 22 é ssh, 23 telnet, 25 smtp, 3389 rdp etc. - também pode encontrá-la em lista de portas na Wikipedia.
Ter uma porta específica também é muito conveniente - se tem uma determinada política da empresa e usa um firewall/proxy, mas gostaria de o ajustar para permitir o tráfego ISL Online, sugerimos simplesmente que abra a porta 7615 e todos os produtos ISL Online funcionarão bem. Se usássemos apenas 80/443, o administrador teria dificuldade em tentar permitir o tráfego ISL Online, mas limitaria outro tráfego que também passa pela porta 80/443.
Em geral, a primeira coisa a se considerar ao lidar com um ambiente de proxy é verificar com o administrador do sistema/rede se é possível fazer uma exceção. Isso não significa que desabilitou completamente o proxy, apenas deixe o tráfego da ISL Online passar diretamente e continue a filtrar o resto. Se o proxy suportar exceções de nome DNS, permita a conexão tcp de saída direta para a porta 7615 para * .islonline.net. Se o proxy suporta apenas exceções de número de IP, verifique este link para uma lista atual dos nossos IPs de servidor. A conexão direta oferece melhor desempenho e atrasos mínimos.
Num mundo ideal de conexões diretas e políticas de segurança flexíveis, a história terminaria aqui, mas como há muitos clientes atrás de firewalls / proxies corporativos onde apenas o tráfego http e https é permitido (ou seja, porta 80 e / ou 443) e sistema / administradores de rede não querem ou não têm permissão para adicionar exceções, também oferecemos suporte para isso e os nossos aplicativos tentam encontrar um transporte funcional mesmo nessas situações (detectar configurações de proxy, usar wininet, criar um túnel, usar o caractere curinga dns - ajuda com alguns proxies, etc.).
Situações em que essa filtragem está envolvida podem sofrer atrasos adicionais, principalmente devido a timeouts de transporte no processo de estabelecimento da conexão. Os produtos ISL Online tentam sempre (bem, a menos que force um determinado tipo de transporte por meio de registo ou linha de comando) a conexão direta usando a porta 7615 e se isso falhar, eles tentam as portas 80 e 443 com vários métodos de proxy. Cada tipo de transporte tem um timeout de 7 segundos e no windows tentamos 8 tipos de transporte, e se for o último a passar significa quase 1 minuto de atraso. Se um cliente reclamar de longos atrasos, a melhor coisa a fazer é conectar-se ao computador problemático e clicar em localizar o melhor transporte na nossa ferramenta de teste de conexão. Mostrará uma lista de transportes bem-sucedidos e a taxa média de transferência, atrasos, etc. Estes resultados permitir-lhe-ão forçar o melhor transporte. Você e o seu cliente apreciarão a redução do atraso na conexão.
Se precisar de ajuda ao lidar com produtos ISL Online em ambientes de proxy, pode entrar em contato com a equipa da ISL Online por telefone, email ou através de nosso chat.
-
Por quanto tempo o sistema mantém uma sessão ISL Light?
Uma sessão está ativa enquanto o ISL Light está ativo. Quando o ISL Light é fechado ou apenas a sessão é fechada pressionando o botão "Finalizar Sessão", a sessão não está mais ativa. O sistema mantém as informações básicas da sessão (ISL Light e números de IP dos computadores clientes, transcrição de chat, quantidade de dados transferidos, etc.). A sessão também pode ser encerrada automaticamente após o tempo de inatividade do utiizador especificado (link). O tempo idle conta como o tempo desde a última ação do utilizador no computador.
-
Como devo configurar o meu firewall para uma experiência ISL Online ideal?
Se não filtrar as conexões de saída, não precisará fazer nenhuma alteração. No entanto, se filtrar as conexões de saída, coloque na lista de permissões todas as conexões para * .islonline.net, se o seu firewall permitir a lista de permissões de DNS. Se só pode colocar endereços IP na lista de permissões, verifique a próxima pergunta.
-
Como devo configurar meu firewall para uma experiência ISL Online ideal se o meu firewall não suporta lista de permissões de DNS? Quais endereços IP devo permitir?
Consulte a lista de servidores para obter uma lista atualizada dos endereços IP dos nossos servidores. No entanto, lembre-se de que a lista de nossos servidores muda com o tempo (novos servidores são adicionados, servidores antigos são desativados), e por isso deve verificar o link fornecido de vez em quando e atualizar o seu firewall de forma adequada. Em vez disso, o proxy de encaminhamento ISL Online intermediário pode ser configurado para minimizar a lista de regras e manter a sua manutenção no nível mais baixo. Para obter informações adicionais, consulte o manual.
-
A conexão é criptografada durante a sessão e conecta-se por meio de um servidor ou diretamente (peer to peer)?
A conexão usa criptografia SSL end-to-end. Após o estabelecimento da sessão, o tráfego ainda passa pelo servidor, mas o servidor não consegue ler os dados (tudo é criptografado end-to-end). Para maior segurança, também tem a opção de Server license, para que possa instalar o servidor por conta própria.
-
Quão seguro é o seu software ISL Light para evitar que "hackers" acedam ao meu computador enquanto usam o seu software?
O ISL Light usa criptografia SSL/TLS padrão da indústria. Pode ter a certeza de que a sua sessão é privada - ela é criptografada de ponta a ponta - do ISL Light Client para o ISL Light. O cliente também deve permitir cada ação, de modo que o operador não pode simplesmente assumir o controlo do seu computador. Não precisa alterar nada nas configurações do seu sistema operacional. Para obter informações adicionais, consulte segurança.
-
A sessão continua se meu IP local mudar no meio da sessão?
Sim, o ISL Light reconecta-se ao servidor, e é quase o mesmo se desconectasse o cabo e o conectasse novamente.
Continue A Ler: Mais Sobre Segurança
